1 / 31

網路安全

網路安全. 張淳雄 整理. 說明. 隨著網路應用技術與服務的日漸成熟,現今的網路的 入侵/攻擊行為,與往昔僅僅單純的破壞網站或使系 統服務中斷已有很大的不同。入侵者可以透過網路, 利用木馬程式、系統設計缺失或網路協定的疏漏等問 題等,發展出許多複雜又多樣化的入侵攻擊手法,不 但隱藏了攻擊來源,又能成功地入侵系統主機以竊取 機密資料、篡改文件與破壞系統,攻擊成功的機率與 破壞力也大幅地提昇,使得安全防制更加困難。. 研究方向. 入侵攻擊手法. DoS 攻擊

alden-barrera
Download Presentation

網路安全

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 網路安全 張淳雄整理

  2. 說明 隨著網路應用技術與服務的日漸成熟,現今的網路的 入侵/攻擊行為,與往昔僅僅單純的破壞網站或使系 統服務中斷已有很大的不同。入侵者可以透過網路, 利用木馬程式、系統設計缺失或網路協定的疏漏等問 題等,發展出許多複雜又多樣化的入侵攻擊手法,不 但隱藏了攻擊來源,又能成功地入侵系統主機以竊取 機密資料、篡改文件與破壞系統,攻擊成功的機率與 破壞力也大幅地提昇,使得安全防制更加困難。

  3. 研究方向

  4. 入侵攻擊手法 • DoS攻擊 • 阻絕服務(Denial of Service,DoS)攻擊,是藉由大量的封包或TCP/IP 協定的疏漏,消耗網路的頻或耗竭系統資源,例如,CPU、Process、Memory 等,阻撓系統或網路運作。 • DDoS攻擊 • 分散式阻絕服務(Distributed DoS,DDoS)攻擊是攻擊者A 從遠端遙控許多傀儡主機F,再下達攻擊指令給F,導致T 無法提供正常服務。

  5. DoS攻擊 • 傳輸層攻擊 • TCP SYN flood DoS 攻擊者A 是利用TCP 連線三階段確認(Three-Way Handshake)的機制的疏漏,以每秒送出數千個TCP SYN 封包至目標主機T 請求(Request)連線,T 收到 A 的連線請求後,會回覆SYN/ACK 封包確認,但A 並 不理會,使得T 在SYN Queue 中累積過多的等待 (Waiting)回覆確認,而耗盡CPU 時間、記憶體等, 而造成T 無法繼續提供服務。

  6. DoS攻擊 • UDP flood DoS UDP flood DoS 攻擊又稱為Fraggle 攻擊,攻擊者透過偽造 來源的UDP 封包,送到目標網域的廣播位址(Broadcast IP),讓該網域內的所有主機回應echo 封包至目標主機 T,產生擴大效應的資料流,使得T 忙於回應,造成網路壅 塞或使T 之CPU 負荷過重無法提供服務。即使該網域的 echo 回應功能被關閉,路由器仍會產生ICMP(type 3, Destination Unreachable)封包,一樣達到DoS 消耗頻寬 的效果。

  7. DoS攻擊 • 網路層攻擊 • Ping Flood DoS 攻擊者A 藉由傳送大量的ICMP echo 封包至目標主機T,以耗盡T 的網路頻寬。 • Ping of Death 攻擊者利用TCP/IP 協定的疏漏,對目標主機T 發送過長的Ping 封包(例如,超過65535 Bytes。而乙太網路封包最大傳輸單元(Maximum Transmission Unit, MTU)有1518 Bytes 的上限,若沒有做好資料長度的限制時,過長的資料覆蓋到T 的其它部份資料或系統,有可能會造成T 發生錯誤而當機。

  8. ICMP • Internet Control Message Protocol • Echo Message • Redirect Message • Source Quench • Destination Unreachable Message

  9. TCP建立連線之程序

  10. TCP終止連線之程序

  11. DDoS攻擊 • 1. TFN DDoS Tribe Flood Network(TFN)[7]是針對UNIX 作業系統的DDoS 攻擊工具,攻擊者 A 會入侵許多傀儡主機F,當A 對F 下達攻擊指令時,F 會對目標主機T 送出大量的封 包(例如,SYN、UDP、ICMP 等)攻擊,造成T 無法提供服務。 • 2. TFN 2K DDoS TFN 2K 是TFN 的更新版本,它允許使用隨機的連接埠,還支援加密功能,而且可 以在SYN、UDP、ICMP 這些攻擊型態之間隨機變換,使網路設施(例如,路由器、 網路防火牆、目標主機等)與入侵偵測系統,無法有效偵測/監控防範,造成網路頻 寬癱瘓或系統資源耗竭。 • 3. Trin00 DDoS 攻擊者A 藉由UDP 封包入侵許多傀儡主機F,在F 植入木馬Trin00 Daemon,該木 馬受控於A 的Trin00 Master,當A 對F 下達攻擊指令時,F 會對目標主機T 送出大量 的UDP 封包攻擊,並不斷改變目的地埠號,造成T 產生大量ICMP Port Unreachable 訊 息,使T 無法正常提供服務。 • 4. Stacheldraht Stacheldraht 是綜合TFN 與Trin00 的特性,增加攻擊者A 與傀儡主機F 之間telnet 加密連線,及提供TCP 與ICMP echo reply 兩種封包,讓A 與F 之間溝通更直接,對系 統造成的威脅也更大。

  12. TCP/IP攻擊 • 不實的IP 位址

  13. TCP/IP攻擊 • TCP 序號預測

  14. TCP/IP攻擊 • TCP 連線劫持

  15. 網路入侵 • Port Scanning • 嘗試連接T 上的各TCP 與UDP 連接埠,確定有 那些正在執行的服務(Service)。 (2) 聆聽(Listen)連接埠狀態,以判斷T 的作業系統種類及應用程式版本等資訊。 (3) 如果該系統並沒有做好安全設定,或其原本便存在安全漏洞,駭客可以經由此連接埠進入T,以遂行破壞或盜取資訊。

  16. 掃描方式 • TCP 連接埠掃瞄 • UDP 掃瞄 • 秘密掃瞄 • TCP SYN 掃瞄 • TCP FIN 掃瞄 • TCP Xmas Tree 掃瞄 • TCP Null 掃瞄 • TCP RST 掃瞄

  17. 網路入侵行為

  18. 網路入侵流程

  19. 網路存取監控 • 監控節點

  20. 網路防火牆 • 封包過濾式防火牆 過濾封包是最早被運用於防 火牆的技術,屬於OSI 七層 架構中的第三層(網路層) 運作,安裝在網路閘道 (Gateway)出入口處,監 控每個來往的IP 封包標頭 (IP Header),檢視其內 容是否符合事前設定的網路 存取規則。

  21. 封包過濾式防火牆 • 優點 • 建置容易,成本較低。 • 僅單純封包過濾,處理速度較快。 • 缺點 • 無法過濾加密過的資料。 • 封包過濾規則定義複雜,容易出現配置不當不一致的問題,例如,封包過濾規則一允許所有外部使用者,可以任意存取所有內部伺服主機所提供的所有服務,而規則二不允許外部使用者存取內部FTP 伺服主機所提供的服務,而系統對存取規則的判讀是依照規則順序,因此,祗要符合規則一的使用者,皆可以存取內部FTP的資料,造成資訊外洩。

  22. 應用層防火牆 • 應用層防火牆是在OSI 七層架構中第七層(應用層)運作,它利用代理程式(Proxy)所設定的安全存取規,儲存並轉發(Store and Forward)客戶端(Client)對伺服端(Server)提出的連線要求;組織內部欲對外界提出連線要求時,其運作原理亦同,只是方向是由內向外。此方式客戶端與伺服端雙方無法直接連線,必須透過此特別設計的安全代理程式代為處理,避免入侵者直接連線攻擊,其優點除了提供代理服務外,在應用層也提供較好的用戶認證(除一般授權檢查外,也可以限制使用者登入/拜訪主機、登入時間等)、日誌訊息(Audit log)及過濾規則。

  23. 應用層防火牆 • 優點 • 在OSI 第七層應用層代理程式的儲存並轉發客戶端對伺服端提出的連線要求,能防止直接的連線攻擊。 • 缺點 • 和封包過濾式防火牆相比較,則因是在應用層處理之故,速度比較慢,不適用於高 • 速網路,例如,非同步傳輸(Asynchronous Transfer Mode,ATM)高速網路等。

  24. 防火牆限制 • 後門問題 • 內部攻擊 • 未經防火牆的連線 • 病毒威脅

  25. 防火牆建置 • 咽喉點 • 若能在內部網路I 與網際網路之間維持一個唯一的通道C,又稱為咽喉點(Choke Point),所有進出I 的封包,都必須經由C,則管理人員比較容易對I 進行監視與控制,其代價則是C 可能會是整個系統的瓶頸,否則便須在C 設置比較大型、比較高速的網路設備,價格自然也比較昂貴,當然C 的當機,整個對外的交通也將陷於癱瘓。 • 非軍事區 • 非軍事區(De-Militarized Zone,DMZ)是一個受到「部份保護」而不能完全信任的網路區域,它的網路存取通常是受防火牆或路由器控制,一般而言,管理者會把所有對外服務的主機(例如,Email、Web、FTP 等)置放於非軍事區內,以便將Internet 與Intranet 的服務區隔開來。

  26. 非軍事區與防火牆

  27. 入侵偵測系統(Intrusion Detection System,IDS) • 網路型入侵偵測系統(Network-based Intrusion Detection System,N-IDS) • 主機型入侵偵測系統(Host-based Intrusion Detection System,H-IDS) • 混合型入侵偵測系統(Hybrid Intrusion Detection System) • 誘捕系統(Deception system)

  28. N-IDS • 優點 • 設置成本較低。祗需設置一部N-IDS 即可偵測同一區域網路中的所有可能入侵行為,且不需更改現有的網路架構與作業系統。 • 隱形在網路上偵測。入侵者無法得知偵測系統的存在,其入侵/攻擊行為記錄無法掩滅。 • 可以同時偵測多個重要主機傳輸資訊。一部N-IDS 可以偵測同一網路內的所有主機的網路傳輸資訊。 • 可偵測來自網路封包的攻擊模式。N-IDS 是偵測OSI 第三層網路層所有的封包傳輸情形,因此可以偵測網路封包型態的攻擊模式,例如,DoS、DDoS 等。 • 缺點 • 僅偵測事先定義之規則與封包特徵,無法偵測新型的攻擊行為。 • 網路流量過大或超出所能處理範圍時,N-IDS 則無法完全偵測所有網路封包的傳輸狀況。 • 無法偵測經過加密的傳輸資訊內容。 • 無法判斷入侵/攻擊行為是否成功。

  29. H-IDS • 優點 • H-IDS 可以依據日誌記錄,判斷入侵/攻擊行為是否成功。 • H-IDS 主要是偵測OSI 第七層應用層,適用於有加密或交換式(Switch)網路環境。交換式網路的技術是對該網域內的所有主機,建立一個媒體存取控制(Media Access Control,MAC)表,亦即網路卡位址對應表,交換器上的高速晶片會依封包所指定之MAC 位址轉送,而不會傳送到其他主機。 • 缺點 • H-IDS 會暴露在網路上,行蹤可能會被發現,而被攻擊損毀。 • 僅偵測事先定義之規則與特徵行為,對新型的攻擊型態無法偵測。 • 可能無法完全相容於所有不同主機的作業平台,使得佈署與維護工作比較複 雜,且無法防護作業系統本身的安全漏洞,若駭客入侵/攻擊這些作業系統安全漏洞,將導致H-IDS 失去效用。 • 無法偵測主機所在網域的所有電腦主機,H-IDS 僅偵測其所在之主機所接收的封包資訊。

  30. 入侵偵測技術

  31. IDS 建置位置

More Related